Технология анализа рисков. Существует множество методик анализа рисков.
Некоторые из них основаны на достаточно простых табличных методах и не предполагают применения специализированного ПО, другие, наоборот, его используют. В табличных методах можно наглядно отразить связь факторов негативного воздействия (показателей ресурсов) и вероятностей реализации угрозы с учетом показателей уязвимостей. Подобные методы сводятся к нескольким несложным шагам. Вот пример одного из таких методов [2]. На первом шаге оценивается негативное воздействие (показатель ресурса) по заранее определенной шкале (скажем, от 1 до 5) для каждого ресурса, которому угрожает опасность.
На втором - по той же шкале оценивается вероятность реализации каждой угрозы. На третьем шаге вычисляется показатель риска. В простейшем варианте методики это делается путем умножения. Однако необходимо помнить, что операция умножения определена для количественных шкал. Должна быть разработана методика оценки показателей рисков применительно к конкретной организации.
На четвертом шаге угрозы ранжируются по значениям их фактора риска. Применение каких-либо инструментальных средств не является обязательным, однако позволяет уменьшить трудоемкость анализа рисков и выбора контрмер. В настоящее время на рынке есть около двух десятков программных продуктов для анализа рисков: от простейших, ориентированных на базовый уровень безопасности, до сложных и дорогостоящих, позволяющих реализовать полный вариант анализа рисков и выбрать комплекс контрмер требуемой эффективности.
Программные средства, необходимые для полного анализа рисков, строятся с использованием структурных методов системного анализа и проектирования (SSADM, Structured Systems Analysis and Design) и представляют собой инструментарий для выполнения следующих операций: 1. построения модели ИС с позиции ИБ; 2. оценки ценности ресурсов; 3. составления списка угроз и уязвимостей, оценки их характеристик; 4. выбора контрмер и анализа их эффективности; 5. анализа вариантов построения защиты; 6. документирования (генерация отчетов). Примерами программных продуктов этого класса являются CRAMM (разработчик - компания Logica, Великобритания), MARION (разработчик CLUSIF, Франция), RiskWatch (США) [3]. Обязательным элементом этих продуктов является база данных, содержащая информацию по инцидентам в области ИБ, позволяющая оценить риски и уязвимости, эффективность различных вариантов контрмер в определенной ситуации.
Принципы, положенные в основу методик.
Границы применимости методик Один из возможных подходов к разработке подобных методик - накопление статистических данных о реальных происшествиях, анализ и классификация их причин, выявление факторов риска. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах. Практические сложности в реализации этого подхода следующие. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во-вторых, применение этого подхода оправданно далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход скорее всего применим.
Если система сравнительно невелика, использует только новейшие элементы технологии (для которых пока нет достаточной статистики), оценки рисков и уязвимостей могут оказаться недостоверными. Альтернативой статистическому подходу является подход, основанный на анализе особенностей технологии. Впрочем, он также не универсален: темпы технологического прогресса в области ИТ таковы, что имеющиеся оценки относятся к уже устаревшим или устаревающим технологиям, для новейших технологий таких оценок пока не существует.
Один из наиболее известных продуктов этого класса, CRAMM, рассмотрен ниже [1].